Corine de Kater
Onlangs heb ik het boek “Je hebt wél iets te verbergen” van onderzoeksjournalisten Maurits Martijn en Dimitri Tokmetzis gelezen. Hoewel ik professioneel al enige tijd met privacy bezig ben, zorgde het boek bij mij voor een schokeffect. Er wordt veel meer data van u opgeslagen, doorgegeven en hergebruikt dan u wel zou denken.
Martijn en Tokmetzis beschrijven onder meer hoe steeds meer bedrijven en overheden profielen van ons opbouwen. Gegevens worden vaak op verschillende plaatsen opgeslagen en met andere organisaties gedeeld. Het resultaat is een spaghetti van persoonlijke gegevens waarover gebruikers én organisaties steeds minder controle hebben.
Call for action maar geen reden tot paniek!
Het is eenvoudig om op basis van dergelijke vaststellingen te panikeren, maar daar helpen we niemand mee. Privacy is nooit volledig te garanderen maar de risico’s zijn wel te beheersen.
De vaststellingen in het boek van Martijn en Tokmetzis zijn voor mij eens te meer een bevestiging dat we als consumenten bewuster kunnen handelen en dat organisaties nog bewuster met privacy en de beveiliging van gegevens aan de slag moeten gaan.
Spanningsveld tussen privacy en functionaliteit
Hoe strikter u de privacy van uw klanten en medewerkers bewaakt, hoe minder functionaliteit u (mogelijk) overhoudt. Uiteraard wilt u zorgvuldig met de gegevens van uw klanten en medewerkers omgaan maar tegelijkertijd wilt u als organisatie ook uw dagelijkse werkzaamheden kunnen blijven uitvoeren.
Denk bijvoorbeeld aan een sollicitatieprocedure. Het is gebruikelijk dat organisaties een sollicitatiebrief binnen vier weken na afloop van de sollicitatieprocedure vernietigen. Tijdens de procedure wordt de sollicitatiebrief gedeeld met collega’s om de brief te beoordelen. Na vier weken kan de organisatie de sollicitatiebrief dus wel centraal verwijderen maar er blijven decentrale kopieën in de mailboxes en op de computers van medewerkers staan.
Het houdt in dit geval geen steek om te zeggen dat de sollicitatiebrief niet gedeeld mag worden; het houdt wel steek om de juiste mensen read-only toegang te geven tot een centrale kopie van de sollicitatiebrief en uit te leggen waarom deze manier van werken aanbevolen is. Zo kan de sollicitatiebrief niet gedownload worden en zo kan de organisatie de brief na vier weken volledig verwijderen.
4 aandachtsgebieden bij het realiseren van beveiliging
De wijze waarop u met het organiseren van de opslag, het gebruik, het hergebruik en het vernietigen van persoonsgegevens wilt omgaan, kent verschillende aandachtsgebieden:
- processen: een doelmatige en doeltreffende procesgang biedt uw organisatie waarborgen voor het zorgvuldig gebruik van persoonsgegevens en zorgt ervoor dat uw medewerkers hun dagelijkse werkzaamheden kunnen blijven uitvoeren.
- organisatie: privacy dient organisatorisch ingebed te zijn. Iedere organisatie maakt daarin haar eigen afwegingen: inhoud van het beleid, centrale of decentrale organisatie, verdeling van taken, verantwoordelijkheden en bevoegdheden, afspraken met externe partijen etc.
- technologie: de ICT-systemen in uw organisatie zijn onderwerp van en hulpmiddel bij informatiebeveiliging. Denk aan hardware, software, data en
- mensen: Mokken en t-shirts met de tekst “we need a patch for human stupidity” doen de ronde. Natuurlijk komen menselijke fouten op het gebied van informatiebeveiliging en privacy voor. Maar veel van deze zogenaamde fouten zijn terug te voeren op onbekendheid met of complexiteit van de materie, de processen, de afspraken of de hulpmiddelen. Daarom is het belangrijk om uw mensen goed te begeleiden.
Deze aandachtsgebieden vinden we ook terug in het voorbeeld van de sollicitatiebrief. Het proces beschrijft in het ideale geval wie wanneer de sollicitatiebrief te zien krijgt en wanneer de sollicitatie is afgerond. Verder is duidelijk wie waarvoor bevoegd is, wie welke verantwoordelijkheden draagt en waar de sollicitatiebrieven centraal beheerd worden. Zo kunnen ze ook automatisch en volledig vernietigd worden. En uiteraard moeten alle betrokken alle richtlijnen aanvaarden en opvolgen.
Deze vier aandachtsgebieden kunnen niet los van elkaar gezien worden. Alle aandachtsgebieden moeten op elkaar afgestemd zijn en zinvol geïmplementeerd worden zodat enerzijds de bescherming van persoonlijke gegevens optimaal is en anderzijds de functionaliteit van uw organisatie optimaal kan blijven.
Hoe gaat u om met de privacy van persoonsgegevens?
Boeken zoals “Je hebt wél iets te verbergen” en publicaties zoals deze hoeven geen reden te zijn tot paniek; ze moeten ons aanzetten om nog bewuster om te gaan met de privacy van persoonlijke gegevens.
Ik wil de komende maanden graag gebruiken om samen met u stil te staan bij de bescherming van uw gegevens en van de gegevens van uw klanten en wetten en regelgevingen die hierbij kunnen helpen.
In afwachting van de volgende publicaties over dit onderwerp hoor ik graag van u in welke mate u begaan bent met de beveiliging van uw gegevens en de gegevens van uw klanten. Ik hoor uw antwoorden én vragen graag via het reactieformulier onderaan deze pagina, via info@divetro.nl of +31 (0) 88 000 54 00.
Graag tot snel!
Corine de Kater helpt organisaties in de rol van projectmanager en implementatiemanager verder met het realiseren en “laten landen” van tastbare veranderingen. Ruim 20 jaar werkt zij op het snijvlak van business en ICT waarbij zij zich de afgelopen jaren heeft toegelegd op privacy en informatiebeveiliging.